Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум
Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  

Название темы: [решено] NT authority sevices.exe status 1073741819
Показать сообщение отдельно

Пользователь


Сообщения: 105
Благодарности: 29

Профиль | Отправить PM | Цитировать

Привет
Выполните, пожалуйста, все рекомендации, даже когда доступ к сайтам появится.
Пофиксить
Код: Выделить весь код
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\7b0d0c2d.exe,\\?\globalroot\systemroot\system32\6bHLFpb.exe,
2.Выполните скрипт в авз:
Код: Выделить весь код
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Flashcontrol\','');
QuarantineFile('C:\WINDOWS\system32\oxvNGqd.exe','');
QuarantineFile('C:\WINDOWS\system32\7b0d0c2d.exe','');
QuarantineFile('C:\WINDOWS\Temp\LOCK.EXE','');
QuarantineFile('C:\WINDOWS\system32\6bHLFpb.exe','');
 QuarantineFile('C:\WINDOWS\system32\icardres.dll.mui','');
QuarantineFile('C:\System Volume Information\_restore{69EDB8A9-0F2B-4199-9DE5-ECAF5B466572}\RP16\A0004026.exe','');
QuarantineFile('C:\Documents and Settings\Администратор.USER\Local Settings\Temporary Internet Files\Content.IE5\7M4NZXC1\a7d06a4a[1].exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\6bHLFpb.exe','');
 QuarantineFile('C:\WINDOWS\system32\7b0d0c2d.exe','');
 QuarantineFile('C:\DOCUME~1\5D4C~1.USE\LOCALS~1\Temp\vtayn.sys','');
 QuarantineFile('C:\DOCUME~1\5D4C~1.USE\LOCALS~1\Temp\o1s5CX8Y.sys','');
 DeleteFile('C:\DOCUME~1\5D4C~1.USE\LOCALS~1\Temp\o1s5CX8Y.sys');
DeleteFile('C:\WINDOWS\Temp\LOCK.EXE');
DeleteFile('C:\System Volume Information\_restore{69EDB8A9-0F2B-4199-9DE5-ECAF5B466572}\RP16\A0004026.exe');
DeleteFile('C:\WINDOWS\system32\oxvNGqd.exe');
DeleteFile('C:\WINDOWS\system32\7b0d0c2d.exe');
DeleteFile('C:\WINDOWS\system32\6bHLFpb.exe');
 DeleteFile('C:\DOCUME~1\5D4C~1.USE\LOCALS~1\Temp\vtayn.sys');
DeleteFile('C:\Documents and Settings\Администратор.USER\Local Settings\Temporary Internet Files\Content.IE5\7M4NZXC1\a7d06a4a[1].exe');
 DeleteFile('C:\WINDOWS\system32\7b0d0c2d.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\6bHLFpb.exe');
DelWinlogonNotifyByKeyName('winxje32');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('vtayn');
BC_DeleteSvc('o1s5CX8Y');
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
3.После перезагрузки выполнить второй скрипт:
Код: Выделить весь код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код: Выделить весь код
:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\fu3TAzU.exe
C:\WINDOWS\system32\DYSeg5b.exe
C:\WINDOWS\system32\jNEpkrV.exe
C:\WINDOWS\system32\RZCAOAw.exe
C:\WINDOWS\system32\fDNUUVK.exe
C:\WINDOWS\system32\KTt3QMS.exe
C:\WINDOWS\system32\Mgg9L5s.exe
C:\WINDOWS\system32\Lwg4lIk.exe
C:\WINDOWS\system32\kKPTPoc.exe
C:\WINDOWS\system32\iad8Srn.exe
C:\WINDOWS\system32\Py654x2.exe
C:\WINDOWS\system32\i2UGKZV.exe
C:\WINDOWS\system32\xRsog2Q.exe
C:\WINDOWS\system32\DTyX6PS.exe
C:\WINDOWS\system32\xi4XlX6.exe
C:\WINDOWS\system32\P4fqVrn.exe
C:\WINDOWS\system32\oxvNGqd.exe
C:\Program Files\Common Files\keylog.txt
C:\WINDOWS\system32\6bHLFpb.exe
C:\WINDOWS\system32\7b0d0c2d.exe

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winxje32]

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.
Содержимое папки C:\_OTM заархивируйте и отправьте на почтовый адрес:
Anti-Spyware2010atyandex.ru
at=@
После этого повторите логи:
авз, попытайтесь запустить обычную версию и обновить её.
Логи RSIT(лог hjt хайджека не надо).
А также:
Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
C:\Program Files\Flashcontrol
Вы сами это устанавливали, известно?

Последний раз редактировалось help?, 01-07-2010 в 12:31.

Это сообщение посчитали полезным следующие участники:

Отправлено: 11:24, 01-07-2010 | #2

Название темы: [решено] NT authority sevices.exe status 1073741819